Accedi / Registrati Account

Applicazioni cloud native

Cos'è un registro dei container?

Un registro dei container è un repository, o una raccolta di repository, utilizzato per archiviare le immagini dei container per Kubernetes, DevOps e per lo sviluppo applicativo basato sui container. 

Immagini dei container

Un'immagine dei container è la copia di un container, ossia i file e componenti che contiene e che costituiscono un'applicazione, rapidamente ripetibile e scalabile o trasferibile su altri sistemi se necessario. Una volta creata, l'immagine dei container diventa un modello da utilizzare per creare nuove app o per espandere e ridimensionare quelle esistenti. 

Quando si lavora con le immagini dei container, è necessaria una posizione in cui salvarli e accedervi durante la loro creazione. Il registro dei container svolge questi compiti, agendo, sostanzialmente, come posizione in cui archiviare e condividere le immagini dei container tramite processi di uploading (pushing) e downloading (pulling). Quando l'immagine si trova in un altro sistema, l'applicazione originale che questa contiene può essere eseguita anche su tale sistema. 

Oltre alle immagini dei container, i registri conservano anche i percorsi e i parametri per il controllo degli accessi alle interfacce di programmazione delle applicazioni (API)

Registri di container pubblici e privati

Sono disponibili due tipi di registri per container: pubblico e privato. 

Quelli pubblici sono perfetti per i singoli o i piccoli team che intendono iniziare a lavorare con i registri il più rapidamente possibile. Includono attività e offerte di base, e sono di facile impiego. 

Le organizzazioni nuove, o contenute nelle dimensioni, possono sfruttare immagini open source standard come inizio. Con la successiva espansione, possono insorgere problemi di sicurezza quali patch, privacy e controllo degli accessi. 

I registri privati consentono di integrare sicurezza e privacy nello storage delle immagini dei container dell'enterprise, che sia ospitato in remoto o che sia on premise. Un'azienda può scegliere di creare e distribuire il proprio registro dei container, o scegliere un apposito servizio privato commerciale. In genere, a questi registri privati sono associati funzionalità di sicurezza e supporto tecnico, come nel caso di Red Hat® Quay.

Aspetti importanti di un registro dei container privato

Uno di vantaggi principali di un registro dei container privato è la possibilità di controllare chi accede a cosa, di eseguire un'analisi delle vulnerabilità e applicare le patch se necessario, e di richiedere l'autenticazione delle immagini e degli utenti. 

Nel processo di scelta di un servizio di registro dei container privato per l'azienda, è utile verificare la presenza dei seguenti aspetti:

  • Supporto per più sistemi di autenticazione
  • Gestione del controllo degli accessi basato sui ruoli (RBAC)
  • Capacità di scansione delle vulnerabilità
  • Capacità di registrare l'utilizzo in log verificabili che consentano di tracciare l'attività di ogni singolo utente
  • Ottimizzato per l'automazione

Il controllo degli accessi basato sui ruoli permette di assegnare le capacità previste dal registro in base al ruolo dell'utente. Ad esempio, a uno sviluppatore serve l'accesso per poter eseguire l'upload e il download dal registro, mentre a un membro del team o a un tester è sufficiente accedere per il download. 

Le organizzazioni dotate di un sistema di gestione degli utenti, come AD o LDAP, possono collegarlo direttamente al registro dei container e utilizzarlo per il controllo RBAC. 

Un registro privato trattiene le immagini con le vulnerabilità, o quelle di un utente non autorizzato, evitando che entrino nel sistema aziendale. È possibile avviare scansioni regolari per individuare problemi di sicurezza e applicare le eventuali patch se necessario.  

Un registro privato consente anche l'applicazione di misure di autenticazione, valide per verificare le immagini dei container archiviate. Queste misure prevedono che l'utente che esegue l'upload dell'immagine applichi una "firma digitale" prima che l'immagine possa essere caricata nel registro. In questo modo, l'attività viene tracciata e si evita l'upload da parte di utenti non autorizzati. Le immagini possono essere contrassegnate in diversi stadi, così da poter essere ripristinate allo stato precedente se necessario.

Un registro dei container Red Hat

Red Hat Quay, registro di immagini di container privato, oltre a offrire capacità di storage per una rapida scalabilità, consente di creare, distribuire ed eseguire il deployment di container. Mediante Clair, analizza le immagini alla ricerca di potenziali problemi, che risolve prima che possano trasformarsi in rischi per la sicurezza. 

Red Hat Quay garantisce l'archiviazione delle app in una posizione privata, con impostazioni di accesso e autenticazione rigide ma controllabili, oltre alle funzionalità e ai vantaggi elencati di seguito:

  • Compatibilità con più backend di storage e provider di servizi di gestione delle identità
  • Registrazione e auditing
  • API flessibile ed estendibile
  • Interfaccia utente intuitiva
  • Possibilità di visualizzare tutte le tag nel repository per un massimo di 2 settimane e di ripristinarle a uno stato precedente
  • Deployment software automatizzati con account robot
  • Download di BitTorrent per ridurre i tempi di attesa
  • Replica geosincrona per la ridondanza e per aumentare la velocità dei download
  • "Garbage collection" delle immagini automatico e continuo per un utilizzo efficiente delle risorse per gli oggetti attivi, senza tempi di inattività o modalità di sola lettura

Red Hat Quay si avvale inoltre del supporto degli esperti tecnici e dei servizi di assistenza di Red Hat, che hanno maturato decenni di esperienza nel servizio ai clienti enterprise. 

C'è molto altro da scoprire su come selezionare un registro di container